پورت های مورد نیاز برای EventLog Analyzer چیست؟
قبل از راه اندازی EventLog Analyzer در محیط خود، مطمئن شوید که موارد زیر رعایت شده است.
1. پورتهای اولیه
| پورت | ورودی | خروجی | حقوق و مجوزهای اضافی |
|---|---|---|---|
| HTTP/8400 (قابل تنظیم) | سرور EventLog Analyzer | دستگاه تکنسین آنالایزر EventLog | پورت قابل تنظیم برای ارتباط بین سرور مدیریتشده و دستگاهها |
استفاده از پورتها:
- پورتها به طور پیشفرض برای ارتباط بین سرور مدیریتشده و عاملها استفاده میشوند.
- محدوده قابل قبول برای مقدار بین 1024-65535 است.
2. جستجوی الاستیک
| پورت | ورودی | خروجی | حقوق و مجوزهای اضافی |
|---|---|---|---|
| TCP/9300-9400 (قابل تنظیم) | گره مدیریت موتور جستجو EventLog Analyzer [گروه SEM] | سرور EventLog Analyzer | پورت قابل تنظیم برای ارتباط با سرور Elasticsearch در EventLog Analyzer |
استفاده از پورتها:
- این پورت برای سرور Elasticsearch در EventLog Analyzer استفاده میشود.
- SEM و سرور EventLog Analyzer میتوانند در یک سرور همزیستی داشته باشند.
- محدوده قابل قبول برای مقدار بین 1024-65535 است.
3. ارتباطات داخلی
| پورت | ورودی و خروجی | حقوق و مجوزهای اضافی |
|---|---|---|
| UDP/5000 (قابل تنظیم) | سرور EventLog Analyzer | پورت قابل تنظیم برای ارتباط داخلی بین عامل و سرور |
- این پورت برای ارتباط عامل با سرور EventLog Analyzer به صورت داخلی استفاده میشود.
- پورت داخلی متصل به localhost است و نیازی به باز کردن فایروال ندارد.
4. پایگاه داده
| پورت | حقوق و مجوزهای اضافی |
|---|---|
| TCP/33335 | استفاده از پورت پایگاه داده PostgreSQL/MySQL برای اتصال به پایگاه داده |
استفاده از پورتها:
- پورت پایگاه داده PostgreSQL/MySQL برای اتصال به پایگاه داده EventLog Analyzer.
- پورت فایروال نیازی به باز شدن ندارد زیرا به localhost متصل است.
5. مجموعه ورود به سیستم - لاگ ویندوز
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/135 | دستگاه ویندوز | سرور EventLog Analyzer | Rpc | گزارشخوانهای رویداد، کاربران توزیعشده COM |
| TCP/139 | دستگاه ویندوز | سرور EventLog Analyzer | جلسات NetBIOS | مجوزهای کاربر: فعال کردن حساب و امنیت خواندنی |
| TCP/445 | دستگاه ویندوز | سرور EventLog Analyzer | SMB RPC/NP | مجوزهای فایروال: ابزار مدیریت ویندوز (WMI) |
| محدوده دینامیک پورتهای RPC (TCP/49152 تا 65535) | دستگاه ویندوز | سرور EventLog Analyzer | RPC | پورتهای RPC پویا برای ویندوز سرور 2008 و بعد از آن |
توجه:
- پورتهای خروجی در دستگاه عامل EventLog Analyzer و ورودی در سرور EventLog Analyzer نیازی به باز شدن ندارند.
- برای افزایش امنیت، توصیه میشود که آدرس IP سرور در محدوده فایروال قرار داده شود.
1. مجموعه Syslog
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| UDP/514 (قابل تنظیم) | سرور EventLog Analyzer | دستگاه هدف | Syslog | پورت قابل تنظیم توسط کاربر |
| UDP/513 (قابل تنظیم) | سرور EventLog Analyzer | دستگاه هدف | Syslog | پورت قابل تنظیم توسط کاربر |
| TLS/513 (قابل تنظیم) | سرور EventLog Analyzer | دستگاه هدف | Syslog | پورت قابل تنظیم توسط کاربر |
| TCP/514 (قابل تنظیم) | سرور EventLog Analyzer | دستگاه هدف | Syslog | پورت قابل تنظیم توسط کاربر |
2. ارتباط SSH
| کاربرد |
|---|
اطمینان حاصل کنید که الگوریتمهای زیر در فایل sshd_config وجود دارند: |
| - تبادل کلید (KEX): diffie-hellman-group1-sha1، diffie-hellman-group-exchange-sha256، ... |
| - رمزها: aes128cbc، aes128ctr، aes192cbc، aes192ctr، aes256cbc، aes256ctr، ... |
| - MAC: hmacmd5، hmacmd596، hmacsha1، hmacsha196، hmacsha256، hmacsha512 |
| *این برای همه ارتباطات لینوکس الزامی خواهد بود. |
3. نصب ایجنت لینوکس و ارتباطات
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/22 | دستگاه لینوکس | سرور EventLog Analyzer | Ssh | حقوق راهاندازی مجدد سرویس 'rsyslog' یا 'syslog'. |
| مجوز "RW" باید برای فایلها (/etc/rsyslog.conf یا /etc/syslog.conf) فعال باشد. |
4. مجموعه ورود به سیستم AS400
| پورت | ورودی | خروجی |
|---|---|---|
| TCP/446-449 | سرور AS400 | سرور EventLog Analyzer |
| TCP/8470-8476 | AS400 خدمت کنید | سرور EventLog Analyzer |
| TCP/9470-9476 | AS400 خدمت کنید | سرور EventLog Analyzer |
5. مجموعه Trap SNMP
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| UDP/162 (قابل تنظیم) | سرور EventLog Analyzer | دستگاه شبکه / برنامه | Snmp | کاربر میتواند پورت را سفارشی کند. |
6. مجموعه گزارشهای IIS
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/135 | سرور IIS | سرور EventLog Analyzer | Rpc | دسترسی خواندن به پوشه گزارش IIS باید فعال باشد. |
| TCP/139 | سرور IIS | سرور EventLog Analyzer | جلسه NetBIOS RPC/NP | مجوزهای سیستم 32/inetsrv باید فعال باشد. |
| TCP/445 | سرور IIS | سرور EventLog Analyzer | SMB RPC/NP | امتیازات اشتراکگذاری مدیر مورد نیاز است. (مثال: Admin$, c$) |
7. ارکستراسیون ایجنت
1. مجموعه گزارش ایجنت ویندوز و ارتباطات
| پورت | ورودی | خروجی | حقوق و مجوزهای اضافی |
|---|---|---|---|
| HTTP/8400 (قابل تنظیم) | سرور EventLog Analyzer | دستگاه ایجنت EventLog Analyzer | مجوز محیط: پورت 8400 باید هم در دستگاه عامل و هم در دستگاه سرور باز باشد. ارتباطات شامل وظایفی مانند همگامسازی ایجنت و بررسی وضعیت ایجنت است. |
2. نصب و مدیریت ایجنت ویندوز
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/135 | دستگاه عامل EventLog Analyzer | سرور EventLog Analyzer | Rpc | خواندن، نوشتن و تغییر مجوزهای فایلها در \\<ipaddress>\Admin$\TEMP\EventLogAgent باید فعال باشد. دسترسی به سرویس "رجیستری از راه دور" لازم است. کنترل خواندن برای کلید رجیستری winreg باید اعطا شود. |
| TCP/139 | دستگاه عامل EventLog Analyzer | سرور EventLog Analyzer | جلسات NetBIOS RPC/NP | - |
| TCP/445 | دستگاه عامل EventLog Analyzer | سرور EventLog Analyzer | SMB RPC/NP | - |
| محدوده دینامیکی پورتهای RPC (TCP/49152 تا 65,535) | دستگاه عامل EventLog Analyzer | سرور EventLog Analyzer | RPC به طور تصادفی پورتهای TCP بالا را برای ویندوز سرور 2008 و نسخههای بعدی اختصاص میدهد. | مدیریت شامل اقداماتی مانند شروع، توقف یا حذف نرمافزار عامل است. |
3. نصب ایجنت لینوکس
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/22 | دستگاه عامل EventLog Analyzer | سرور EventLog Analyzer | Ssh | مجوز "rwx" برای /opt/ManageEngine/ برای انتقال فایلها مورد نیاز است. مجوزهای ارتباط SSH. |
4. مدیریت ایجنت لینوکس و ارتباطات
| پورت | ورودی | خروجی | حقوق و مجوزهای اضافی |
|---|---|---|---|
| TCP/22 | سرور EventLog Analyzer | سرور EventLog Analyzer | مجوزهای SFTP برای انتقال فایلها به /opt/ManageEngine/EventLogAnalyzer_Agent و /etc/audisp/plugins.d. مجوز شروع/توقف/راهاندازی مجدد سرویس برای حسابرسی شده. مجوزهای ارتباط SSH. |
| HTTP/8400 (قابل تنظیم) | سرور EventLog Analyzer | دستگاه عامل EventLog Analyzer | - |
5. وارد کردن گزارشها
ایمپورت لاگها با استفاده از SMB
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/137 | دستگاه هدف | سرور EventLog Analyzer | وضوح نام NetBIOS RPC/لولههای نامگذاری شده (NP) | دسترسی به شبکه: اجازه ندهید ناشناس اجازه شمارش ناشناس حسابها و اشتراکگذاریهای SAM را بدهد. |
| TCP/138 | دستگاه هدف | سرور EventLog Analyzer | دیتاگرام NetBIOS | - |
| TCP/139 | دستگاه هدف | سرور EventLog Analyzer | جلسات NetBIOS RPC/NP | - |
| TCP/445 | دستگاه هدف | سرور EventLog Analyzer | SMB RPC/NP | - |
ایمپورت لاگها با استفاده از FTP
| پورت | دستگاه هدف | سرور EventLog Analyzer | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/20 | دستگاه هدف | سرور EventLog Analyzer | FTP/SFTP | SAuthentication برای سرور FTP باید فعال باشد. |
| TCP/21 | دستگاه هدف | سرور EventLog Analyzer | FTP/SFTP |
کشف کردن
کشف دامنه ویندوز
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/389 | کنترل کننده دامنه | سرور EventLog Analyzer | Ldap | کاربر باید مجوز خواندن اشیاء دامنه دایرکتوری فعال را داشته باشد. |
| مجوز اجرای پرس و جو LDAP در حالت ADS_SECURE_AUTHENTICATION باید وجود داشته باشد. |
کشف کارگروه ویندوز
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/135 | سرور کارگروه | سرور EventLog Analyzer | Rpc | کاربر باید مجوز خواندن اشیاء دامنه دایرکتوری فعال را داشته باشد. |
| مجوز اجرای پرس و جو WinNT در حالت AUTHENTICATION ADS_SECURE باید داده شود. | ||||
| TCP/139 | سرور کارگروه | سرور EventLog Analyzer | جلسه NetBIOS | |
| TCP/445 | سرور کارگروه | سرور EventLog Analyzer | SMB | |
| TCP/1024-65535 | سرور کارگروه | سرور EventLog Analyzer | RPC (پورتهای بالا) |
کشف منبع رویداد
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/135 | دستگاه ویندوز هدف | سرور EventLog Analyzer | Rpc | کلید رجیستری winreg حداقل باید کنترل خواندن داشته باشد. |
| TCP/137 | دستگاه ویندوز هدف | سرور EventLog Analyzer | NetBIOS (نام) | |
| TCP/138 | دستگاه ویندوز هدف | سرور EventLog Analyzer | دیتاگرام NetBIOS | |
| TCP/139 | سرور کارگروه | سرور EventLog Analyzer | جلسه NetBIOS | |
| TCP/445 | سرور کارگروه | سرور EventLog Analyzer | SMB |
کشف سرور MSSQL - ویندوز
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| UDP/1434 | سرور MSSQL | سرور EventLog Analyzer | میتوان برای استفاده از پورتهای TCP پویا برای ارتباط پیکربندی کرد. | |
| TCP/1433 | سرور MSSQL | سرور EventLog Analyzer |
کشف دستگاه شبکه
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| UDP/162 | دستگاههای شبکه | سرور EventLog Analyzer | فهرستی از دستگاههای IP فعال SNMP را واکشی میکند که به پینگ SNMP پاسخ میدهند. |
کشف سرور MYSQL - ویندوز
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/135 | سرور MySQL | سرور EventLog Analyzer | Rpc | مجوز WMI برای یافتن فایل پیکربندی سرور MySQL با استفاده از SFTP مورد نیاز است. |
| TCP/445 | سرور MySQL | سرور EventLog Analyzer | SMB |
کشف سرور MYSQL - لینوکس
| پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| TCP/22 | سرور MySQL | سرور EventLog Analyzer | SMB | مجوز فایل پیکربندی سرور MySQL را با استفاده از SFTP بخوانید. |
مدیریت گردش کار حادثه
| بلوک | پورت | ورودی | خروجی |
|---|---|---|---|
| دستگاه پینگ | ICMP (بدون پورت) | دستگاه ویندوز / لینوکس حسابرسی شده | سرور EventLog Analyzer |
| ردیابی پنجرههای مسیر | ICMP (بدون پورت) | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer |
| ردیابی مسیر لینوکس | UDP / 33434-33534 | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer |
اکشنهای ویندوز
خروج از سیستم
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| خروج از سیستم | TCP/135 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | Rpc | گروههای کاربری: کاربران توزیع شده COM مجوزهای کاربر: برای root\cim v2 در ویژگیهای WMI: متدهای اجرا، فعال کردن حساب، فعال کردن از راه دور، خواندن امنیت مجوز محیط: رایانه نباید دارای سرور نصب شده EventLog Analyzer باشد. |
خاموش کردن و راه اندازی مجدد
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| خاموش کردن و راه اندازی مجدد | TCP/135 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | Rpc | گروههای کاربری: کاربران توزیع شده COM مجوزهای کاربر: برای root\cim v2 در ویژگیهای WMI: متدهای اجرا، فعال کردن حساب، فعال کردن از راه دور، خواندن امنیت مجوز محیط: رایانه نباید شامل سرور نصب شده EventLog Analyzer باشد. |
اجرای اسکریپت ویندوز
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| اجرای اسکریپت ویندوز | TCP/135 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | Rpc | گروههای کاربری: کاربران توزیع شده COM مجوزهای کاربر: برای root\cim v2 در ویژگیهای WMI: متدهای اجرا، فعال کردن حساب، فعال کردن از راه دور، خواندن امنیت مجوز محیط: کاربر باید دسترسی به مسیر مشترک را در اسکریپت خوانده، بنویسد و تغییر دهد. |
غیرفعال کردن USB
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| USB را غیرفعال کنید | TCP/135 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | Rpc | گروههای کاربری: کاربران توزیع شده COM مجوزهای کاربر: برای root\cim v2 در ویژگیهای WMI: متدهای اجرا، فعال کردن حساب، فعال کردن از راه دور، خواندن امنیت مجوز محیط: سرویس رجیستری از راه دور باید در حال اجرا باشد. مجوز کنترل کامل برای HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR |
تمام بلوکهای سرویس
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| تمام بلوکهای سرویس | TCP/135 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | Rpc | گروههای کاربری: کاربران توزیع شده COM، مدیران مجوزهای کاربر: برای root\cim v2 در ویژگیهای WMI: متدهای اجرا، فعال کردن حساب، فعال کردن از راه دور، خواندن امنیت |
شروع فرایند گزارشگیری
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| فرآیند را شروع کنید | TCP/135 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | Rpc | گروههای کاربری: کاربران توزیع شده COM مجوزهای کاربر: برای root\cim v2 در ویژگیهای WMI: متدهای اجرا، فعال کردن حساب، فعال کردن از راه دور، خواندن امنیت |
توقف فرایند گزارشگیری
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| فرآیند را متوقف کنید | TCP/135 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | Rpc | گروههای کاربری: کاربران توزیع شده COM مجوزهای کاربر: برای root\cim v2 در ویژگیهای WMI: متدهای اجرا، فعال کردن حساب، فعال کردن از راه دور، خواندن امنیت |
فرآیند تست
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| فرآیند تست | TCP/135 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | Rpc | گروههای کاربری: کاربران توزیع شده COM مجوزهای کاربر: برای root\cim v2 در ویژگیهای WMI: متدهای اجرا، فعال کردن حساب، فعال کردن از راه دور، خواندن امنیت |
اکشنهای لینوکس
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| خاموش کردن و راه اندازی مجدد | TCP/پورت مشخص شده است. | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer | - | مجوز محیط: کاربر باید کاربر اصلی باشد. |
| اجرای اسکریپت ویندوز | TCP/پورت مشخص شده است. | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer | - | مجوز محیط: مجوز sudo برای کاربر. |
| تمام بلوکهای سرویس | TCP/پورت مشخص شده است. | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer | - | مجوز محیط: مجوز sudo. |
| فرآیند را شروع کنید | TCP/پورت مشخص شده است. | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer | - | مجوز محیط: مجوز اجرای دستور باید برای کاربری که اعتبارنامه اش ارائه شده است در دسترس باشد. |
| فرآیند را متوقف کنید | پورت مشخص شده | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer | - | مجوز محیط: مجوز اجرای دستور باید برای کاربری که اعتبارنامه اش ارائه شده است در دسترس باشد. |
| فرآیند تست | TCP/پورت مشخص شده است. | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer | - | - |
اطلاعیهها
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| پاپ آپ ویندوز | TCP/135 | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer | Rpc | - |
| گروههای کاربری: | - | ||||
| کاربران توزیع شده COM | - | ||||
| مجوزهای کاربر | برای root\cim v2 در ویژگیهای WMI: | ||||
| متدهای اجرا | - | ||||
| فعال کردن حساب | - | ||||
| فعال کردن از راه دور | - | ||||
| خواندن امنیت | - | ||||
| مجوز محیط: | "AllowRemoteRPC" باید 1 برای سرور HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Control\Terminal باشد. | ||||
| پورتهای RPC - TCP/1024 تا 65,535 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | RPC به طور تصادفی پورتهای TCP بالا را اختصاص داده است. | - | - |
| پاپ آپ لینوکس | TCP/پورت مشخص شده است. | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer | - | مجوز محیط: مجوز sudo برای کاربر. |
| ارسال ایمیل ویندوز و لینوکس | TCP/Port هنگام پیکربندی با استفاده از سرور SMTP ذکر شده است. | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer | - | مجوز محیط: سرور SMTP باید روی سرور تحلیلگر گزارش رویداد پیکربندی شود. |
| ارسال پیامک ویندوز و لینوکس | - | - | - | - | مجوز محیط: سرور پیامک باید در محصول پیکربندی شود. |
| ارسال SNMP Trap ویندوز و لینوکس | UDP/Port مشخص شده در بلوک گردش کار | دستگاه ویندوز / لینوکس حسابرسی شده | سرور EventLog Analyzer | - | مجوز محیط: پورت ذکر شده در پیکربندی گردش کار باید باز باشد. |
اقدامات آگهی
| بلوک | پورت | ورودی | خروجی | خدمات | حقوق و مجوزهای اضافی |
|---|---|---|---|---|---|
| حذف پنجرههای کاربر تبلیغاتی | TCP/389 | کنترل کننده دامنه حسابرسی شده | سرور EventLog Analyzer | Ldap | مجوزهای کاربر: کاربر باید حق "حذف" را در آگهی داشته باشد تا سایر حسابها را حذف کند. |
| ویندوز کاربر تبلیغاتی را غیرفعال کنید | TCP/389 | کنترل کننده دامنه حسابرسی شده | سرور EventLog Analyzer | Ldap | مجوزهای کاربر: حساب کاربری ارائه شده باید دارای مجوزهای "خواندن"، "نوشتن"، "تغییر مالکان" و "تغییر مجوزها" باشد. |
| غیرفعال کردن رایانه کاربر ویندوز و لینوکس | TCP/389 | کنترل کننده دامنه حسابرسی شده | سرور EventLog Analyzer | Ldap | مجوز کاربر: حساب کاربری ارائه شده باید دارای مجوزهای «خواندن»، «نوشتن»، «تغییر مالکان» و «تغییر مجوزها» باشد. |
اقدامات متفرقه
| بلوک | پورت | ورودی | خروجی | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| نوشتن در فایل ویندوز | TCP/135 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | - |
| گروههای کاربری: | کاربران توزیع شده COM | |||
| حقوق کاربر: | به عنوان بخشی از سیستم عامل عمل کنید | |||
| به عنوان یک کار دستهای وارد شوید | ||||
| به عنوان یک سرویس وارد شوید | ||||
| یک توکن سطح فرآیند را جایگزین کنید. | ||||
| مجوزهای کاربر: | برای ریشه \ cim v2 در خواص: | |||
| متدهای اجرا | - | |||
| فعال کردن حساب | - | |||
| فعال کردن از راه دور | - | |||
| خواندن امنیت | - | |||
| مجوز محیط: | کاربر باید دسترسی به مسیر مشترک را خوانده، بنویسد و تغییر دهد. | |||
| پورتهای RPC - TCP/1024 تا 65,535 | دستگاه ویندوز حسابرسی شده | سرور EventLog Analyzer | - | - |
| نوشتن در فایل لینوکس | TCP/پورت مشخص شده است. | دستگاه لینوکس حسابرسی شده | سرور EventLog Analyzer | مجوز محیط: مجوز sudo برای کاربر |
| HTTP WebHook | - | - | - | مجوز محیط: یک مجوز سوکت "اتصال" به ترکیب میزبان/پورت URL مقصد یا یک "مجوز URL" که این درخواست را مجاز میکند. |
| گزارشهای فوروارد | TCP/پورت مشخص شده | دستگاه ویندوز / لینوکس حسابرسی شده | سرور EventLog Analyzer | - |
| جستجوی CSV | TCP/پورت مشخص شده | دستگاه ویندوز / لینوکس حسابرسی شده | سرور EventLog Analyzer | مجوزهای کاربر: مجوز فایل CSV مشخص شده را بخوانید. |
1. اقدامات فایروال
| فایروال | پورت | ورودی | خروجی | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| سیسکو ASA | https/443 | دستگاه فایروال | سرور EventLog Analyzer | پورت کاربر قابل تنظیم حقوق اضافی: Cisco Credentials |
| Fortigate | https/443 | دستگاه فایروال | سرور EventLog Analyzer | پورت کاربر قابل تنظیم حقوق اضافی: Fortigate Credentials |
| پالو آلتو | https/443 | دستگاه فایروال | سرور EventLog Analyzer | پورت کاربر قابل تنظیم حقوق اضافی: Palo Alto Credentials |
| Sophos XG | https/443 | دستگاه فایروال | سرور EventLog Analyzer | پورت کاربر قابل تنظیم حقوق اضافی: Sophos XG Credentials |
| باراکودا | https/8443 | دستگاه فایروال | سرور EventLog Analyzer | پورت کاربر قابل تنظیم حقوق اضافی: Fortigate Credentials |
2. راه اندازی ارتباطات توزیع شده
| توزیع | پورت | ورودی | خروجی | حقوق و مجوزهای اضافی |
|---|---|---|---|---|
| HTTP | 8400 (قابل تنظیم) | ماشین سرور مدیریت شده EventLog Analyzer | ماشین سرور ادمین | مجوزهای کاربر: سرور مدیریت شده به ارتباط سرور مدیریت شده از طریق پورت وب سرور پیش فرض. شماره پورت پیش فرض 8400 است. پورت را می توان توسط کاربر سفارشی کرد. |
| HTTP | 8400 (قابل تنظیم) | ماشین سرور ادمین | ماشین سرور مدیریت شده EventLog Analyzer | مجوزهای کاربر: سرور مدیریت به ارتباط سرور مدیریت شده از طریق پورت وب سرور پیش فرض. کاربر می تواند پورت را سفارشی کند. مقدار باید بین 1024 تا 65535 باشد. |
3. پورت بایگانی متمرکز
| پورت | ورودی | خروجی | حقوق و مجوزهای اضافی |
|---|---|---|---|
| SSH | 8080 (قابل تنظیم) | ماشین سرور ادمین | ماشین سرور مدیریت شده EventLog Analyzer |
4. استفاده از EventLog Analyzer با اپلیکیشنهای آنتی ویروس
برای اطمینان از عملکرد بدون مانع EventLog Analyzer، باید فایلهای زیر را به لیست استثناهای برنامه آنتی ویروس خود اضافه کنید:
| مسیر | نیاز به لیست سفید | اگر در لیست سفید نباشد، تأثیر بگذارد |
|---|---|---|
| <ELA_HOME>/ES/داده ها | دادههای نمایهشده Elasticsearch ذخیره میشوند. | در صورت حذف دادهها، همه گزارشهای جمعآوریشده در دسترس نخواهند بود. |
| <ELA_HOME>/ES/مخزن | عکس فوری شاخص Elasticsearch در این مکان گرفته شده است. | اسنپشاتها و ویژگی بایگانی Elasticsearch در صورت حذف فایلهای موجود در این مکان از کار میافتند. |
| <ELA_HOME>/ES/بایگانی | آرشیوهای Elasticsearch در اینجا ذخیره میشوند. | اگر فایلهای موجود در اینجا حذف شوند، دادههای گزارش بایگانیشده در دسترس نخواهند بود. |
| /elasticsearch/ES/data | دادههای نمایهشده Elasticsearch ذخیره میشوند. | در صورت حذف دادهها، گزارشها تحت تأثیر قرار میگیرند. |
| /elasticsearch/ES/repo | عکس فوری شاخص Elasticsearch در این مکان گرفته شده است. | اسنپشاتها و ویژگی بایگانی Elasticsearch در صورت حذف فایلهای موجود در این مکان از کار میافتند. |
| /elasticsearch/ES/بایگانی | آرشیوهای Elasticsearch در اینجا ذخیره میشوند. | اگر فایلهای موجود در اینجا حذف شوند، دادهها در دسترس نخواهند بود. |
| <ELA_HOME>/data/za/threatfeeds | فایلهای همراه حاوی لیستی از IP ها، دامنهها و URL های مخرب که در صورت عدم اتصال به اینترنت استفاده میشوند، در اینجا ذخیره میشوند. | این فایلها در اولین همگامسازی پیشفرض فید تهدید حذف خواهند شد. لیست سفید فقط تا اولین همگامسازی لازم است. |
| <ELA_HOME>/data/AlertDump | گزارشهای قالببندیشده قبل از پردازش برای هشدارها ذخیره میشوند. | اگر فایل قرنطینه یا حذف شود، هشدارهای مربوطه از دست میرود. |
| <ELA_HOME>/data/NotificationDump | گزارشهای قالببندیشده قبل از پردازش برای اطلاعرسانی ذخیره میشوند. | اگر فایل قرنطینه یا حذف شود، اعلان هشدارهای فعالشده از دست میرود. |
| <ELA_HOME>/سطل | همه باینریها در اینجا گنجانده شدهاند. برخی از برنامههای آنتی ویروس ممکن است آنها را به عنوان مثبت کاذب مسدود کنند. | محصول ممکن است کار نکند. |
| <ELA_HOME>/data/imworkflow | باینریهای آپلود شده توسط کاربران برای اجرای گردش کار در اینجا ذخیره میشوند. | گردش کار هشدار اسکریپت ممکن است آنطور که در نظر گرفته شده کار نکند. |
| <ELA_HOME>/PGSQL/سطل | باینریهای Postgres در اینجا گنجانده شده است. ممکن است توسط برنامههای آنتی ویروس به عنوان مثبت کاذب شناسایی شود. | ممکن است محصول شروع نشود. |
| <ELA_HOME>/lib/native | همه باینریها در اینجا گنجانده شدهاند. برخی از برنامههای آنتی ویروس ممکن است آنها را به عنوان مثبت کاذب مسدود کنند. | محصول ممکن است کار نکند. |
| <ELA_HOME>/archive | برنامههای آنتی ویروس ممکن است عملیات نوشتن مکرر را کند کنند. | اگر برنامههای آنتی ویروس عملیات نوشتن را کند کنند، ممکن است مشکلات عملکردی در محصول رخ دهد. |
| <ELA_HOME>/عیب یابی | همه باینریهای عیبیابی در اینجا گنجانده شده است. برخی از برنامههای آنتی ویروس ممکن است آنها را به عنوان مثبت کاذب مسدود کنند. | برخی از فایلهای دستهای عیبیابی ممکن است کار نکنند. |
| <ELA_HOME>/ابزار | همه باینریهای ابزار در اینجا گنجانده شده است. برخی از برنامههای آنتی ویروس ممکن است آنها را به عنوان مثبت کاذب مسدود کنند. | اگر فایلها توسط برنامههای آنتی ویروس حذف شوند، ممکن است برخی از ابزارها کار نکنند. |
| <ELA_HOME>/ES/CachedRecord | برنامههای آنتی ویروس ممکن است عملیات نوشتن مکرر را کند کنند. | اگر برنامههای آنتی ویروس عملیات نوشتن را کند کنند، ممکن است مشکلات عملکردی در محصول رخ دهد. |
در زیر، جدولهایی برای دستگاههای مختلف عامل (ویندوز 64 بیت، ویندوز 32 بیت و لینوکس) به همراه اطلاعات مربوط به مسیرها و اثرات عدم لیست سفید شدن هرکدام، اصلاح شده است:
ایجنت دستگاه ویندوزی - 64 بیتی
| مسیر | نیاز به لیست سفید | اگر در لیست سفید نباشد، تأثیر بگذارید |
|---|---|---|
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin | باینریهای عامل در اینجا ذخیره میشوند. | اگر فایلها قرنطینه شوند، ممکن است Agent کار نکند. |
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data | برنامههای آنتیویروس ممکن است عملیات نوشتن مکرر را کند کنند. | اگر برنامههای آنتیویروس عملیات نوشتن را کند کنند، ممکن است مشکلات عملکردی در محصول رخ دهد. |
| C:\TEMP\EventLogAgent | فایلهای نصب عامل برای نصب و ارتقاء منتقل میشوند. | اگر فایلها قرنطینه شده باشند، ممکن است عامل ارتقا نیابد یا نصب نشود. |
ایجنت دستگاه ویندوزی - 32 بیتی
| مسیر | نیاز به لیست سفید | اگر در لیست سفید نباشد، تأثیر بگذارید |
|---|---|---|
| C:\Program Files\EventLogAnalyzer_Agent\bin | باینریهای عامل در اینجا ذخیره میشوند. | اگر فایلها قرنطینه شوند، ممکن است Agent کار نکند. |
| C:\Program Files (x86)\EventLogAnalyzer_Agent\bin\data | برنامههای آنتیویروس ممکن است عملیات نوشتن مکرر را کند کنند. | اگر برنامههای آنتیویروس عملیات نوشتن را کند کنند، ممکن است مشکلات عملکردی در محصول رخ دهد. |
| C:\TEMP\EventLogAgent | فایلهای نصب عامل برای نصب و ارتقاء منتقل میشوند. | اگر فایلها قرنطینه شده باشند، ممکن است عامل ارتقا نیابد یا نصب نشود. |
ایجنت دستگاه لینوکسی
| مسیر | نیاز به لیست سفید | اگر در لیست سفید نباشد، تأثیر بگذارید |
|---|---|---|
| /opt/ManageEngine/EventLogAnalyzer_Agent/bin | باینریهای عامل در اینجا ذخیره میشوند. | اگر فایلها قرنطینه شوند، ممکن است Agent کار نکند. |
| /opt/ManageEngine/EventLogAnalyzer_Agent/bin/data | برنامههای آنتیویروس ممکن است عملیات نوشتن مکرر را کند کنند. | اگر برنامههای آنتیویروس عملیات نوشتن را کند کنند، ممکن است مشکلات عملکردی در محصول رخ دهد. |
تجزیه و تحلیل پیشرفته تهدید
| پورت | حقوق و مجوزهای اضافی |
|---|---|
| HTTPS/443 | برای واکشی فیدهای "Log360 Cloud Threat Analytics"، از URL های زیر استفاده میشود: |
| https://log360cloud.manageengine.com/ | |
| https://log360feeds.manageengine.com/ |
ادامه مطلب در صفحه بعدی...
